CSE : Attention au traitement des données personnelles des salariés et au respect de leur vie privée

CSE et RGPD

Le CSE (comité social économique) a notamment pour mission de présenter à l’employeur les réclamations individuelles ou collectives relatives, de veiller à l’application de la réglementation du travail dans l’entreprise, de promouvoir la santé, la sécurité et les conditions de travail, de réaliser des enquêtes en matière d’accident du travail, de maladies professionnelles, ou à caractère professionnel, de saisir l’inspection du travail de plaintes et observations relatives à l’application des dispositions légales, d’alerter l’employeur en cas d’atteinte aux droits des personnes et en cas d’atteinte à leur santé physique et mentale, d’assurer et de contrôler ou participer à la gestion des activités sociales et culturelles et, dans les entreprises de 50 salariés et plus, d’assurer une expression collective des salariés permettant la prise en compte permanente de leurs intérêts dans les décisions relatives à la gestion et à l’évolution économique et financière de l’entreprise, à l’organisation du travail, à la formation professionnelle et aux techniques de production.

Or dans le cadre de ses missions et attributions, le CSE est amené à collecter et traiter des données personnelles, notamment les données des salariés relatives à leur vie familiale et personnelle ainsi que leur santé : nom, prénom, adresse, situation familiale, fonction, formation, situation de santé, activité sociales et culturelles, etc...

Par ailleurs, un certain nombre d’informations personnelles relatives aux salariés lui sont transmises dans le cadre des consultations obligatoires et de la BDES (base de données économiques et sociales) : rémunérations, etc…

A cet égard, la jurisprudence considère que le respect de la vie personnelle du salarié n'est pas en lui-même un obstacle à la communication d’informations précises aux élus, ceux-ci étant tenus à une obligation de discrétion.

Le CSE doit donc être en conformité avec le RGPD (Règlement général sur la protection des données du 27 avril 2016) quant au traitement de ces données et :

• Recueillir le consentement des salariés quant au traitement de leurs données personnelles ;
• Informer les salariés quant à leurs droits ;
• Mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément ;
• Tenir un registre de traitement ;
• Prévoir les mesures destinées à assurer la confidentialité des données traitées ;
• Désigner une personne responsable de la protection des données personnelles au sein du CSE (elle peut être accompagnée par un DPO).

En cas de non-conformité, les CSE sont soumis aux mêmes sanctions que les entreprises :

• Amende ;

• Rappel à l’ordre ou avertissement ;

• Mise en demeure ;

• Injonction assortie d’une astreinte ;

• Limitation temporaire ou définitive du traitement de données ;

• Suspension des flux des données ;

• Ordre de satisfaire aux demandes d’exercice des droits des personnes ;

• Rectification, limitation ou effacement des données.

Références

RÈGLEMENT (UE) n° 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Cass. soc., 5 décembre 2018, n° 16-26.895.